Symantec 年会内部稿件_4-赛门铁克反垃圾邮件解决方案

赛门铁克防垃圾邮件安全方案
张 晨 CISSP CISA SCSP 赛门铁克系统工程师
1.


主要内容
• • • • • 赛门铁克全方位邮件安全管理解决方案 赛门铁克邮件安全网关SMS8300 系列 SMS 8300 防垃圾邮件技术优势 利用SMS 8300 防止数据泄漏 总结
2.


Symantec Information Risk Management
保护 Protect 控制 Control
存储 Store
发现 Discover
Simply / Manage
3.
3


如何确保电子邮件中的信息安全并可用
电子邮件管理 管理邮件生命周期 保护电子邮件 保障邮件系统正常运行
减少数据量
在垃圾邮件进入网络和电子 邮件系统前将其拦截
降低风险 减少数据量
在病毒、垃圾邮件和网络钓 鱼进入到达最终用户前将其 拦截
内部邮件保护
扫描内部和发出的邮件以发 现病毒和非授权内容
纪录保留
根据业务规则自动获取 、管理和保留电子邮件 和其它纪录
纪录发现和提取
为法规遵从、法律调查及 其它需要进行监督、查询 并提取归档内容
MTA
Microsoft Exchange IBM Notes Domino
归档
磁带库存储
互联网
SMTP Traffic
弹性的基础
高效的备份带来迅速的恢复 集群技术减少宕机时间 复制及远程集群技术保障灾难恢复 自动分区管理存储设备
4.


赛门铁克全方位的电子邮件安全管理视图
减小数据量
SMS 8160 Appliance "Antispam Router"
降低风险 减少数据量 Symantec Mail Security 8300 series
内部邮 件保护
SMS for Microsoft® Exchange SMS for Domino®
记录保留
Symantec Enterprise Vault Symantec Solutions Enablement Services
纪录发现和提取
Symantec EV Compliance Accelerator & Discovery Accelerator, Symantec Solutions Enablement Services
MTA
Microsoft Exchange IBM Notes Domino
存档
磁带库存储
Insight
互联网
SMTP Traffic
弹性的基础
Symantec NetBackup or Backup Exec Symantec Storage Foundation HA (VCS) Symantec Solutions Enablement Services SMS = Symantec 邮件安全性
5.


SMS 8300－全面解决邮件安全问题
保护 Protect
垃圾邮件和病毒邮件
控制 Control
敏感数据
• • • •
有效性高达97% ,精确度99.999% 全球检测响应网络 及时更新，每 5-10 分钟 集成的IM 过滤
• • • •
灵活满足行业法规政策要求 有选择性的邮件加密 集成的遵从控制工作流 敏感数据指纹识别
降低复杂性和花费
• 灵活报告统计 • 统一、集中管理 • 细粒度化邮件追踪
Simplify
6.


主要内容
• • • • • 赛门铁克全方位邮件安全管理解决方案 赛门铁克邮件安全网关SMS8300 系列 SMS 8300 防垃圾邮件技术优势 利用SMS 8300 防止数据泄漏 总结
7.


Symantec 独有的技术优势－全球邮件安全响应网络
Calgary, Canada Tokyo, Japan San Francisco,
Symantec 全球智能网络
• 每5-10 分钟自动更新 Germany
Munich,
Dublin, Ireland Twyford,
• 全球超过7CA 亿5千万邮箱使用赛门铁克邮件安全方案保护 England
Redwood City, CA Santa Monica, CA Pune, India
Taipei, Taiwan
Alexandria, VA
Sydney, Australia
Symantec Security Response Symantec Email Security Group
Virus Protection by Symantec Security Response
Spam Protection by Email Security Group
● 8 安全响应中心 ● 数字免疫系统 – Over 120M systems worldwide ● 遍及45个国家 ● 24 x 365 响应
● ● ● ● ●
4 邮件操作中心 300百万个垃圾邮件收集帐户 每天处理上百万的垃圾邮件 遍及20个国家 24 x 365 响应
8.
8


Symantec 全球化的垃圾邮件收集、处理机制
Symantec Antispam Operations
9.


Probe Network:检测网络
核心功能
• 收集大量垃圾邮件机进行分 析 • 对实时的垃圾邮件和其他类 型威胁如邮件欺诈等进行预 警 • 将垃圾邮件与欺诈型电子邮 件提交到BLOC进行分析和响 应 • 汇总统计邮件流量以便分析 垃圾邮件的威胁等级 • 专利技术: Symantec拥有垃圾 邮件蜜罐方面的专利 • 覆盖全球:可保护全球范围内 ISP以及企业的邮件安全 • 最广的普及性: 加上用户提交 的数据，具备超过两百万的诱 骗邮件地址以分析垃圾邮件， 保护超过3亿个电子邮件信箱
工作原理
独一无二
• 创建可以中继到Brightmail的 邮件地址 • 公布该地址以引诱垃圾邮件发 送者
10.


BLOC ( Symantec Brightmail Logistics and Operations Center ) 圾邮件分析操作中心
– – – – –
自动化创建垃圾邮件过滤器 垃圾邮件的研究和查证 24x7 全天候运作 探测网络管理 监视有效性与准确率
11.


通用的硬件防垃圾邮件解决方案—— SMS 8300 • 强大的可用性和安全性 – 冗余的硬件设备， RAID硬盘, 电源, 风扇等. – 精简内核的Linux 9操作系统 • 升级的软件内核 – 使用最新版本的Brightmail技术，支持自动更新 • 三种型号：SMS 8380, SMS 8360, SMS 8340
12.


SMS 8300 硬件平台
型号
物理规格 冗余电源、风 扇 RAM/Storag e Raid
2U Yes
8380
1U Yes
8360
10,000 用户 1U No
8340
1,000 用户
用户建议规模 150,000 用户
4GB / 6x146 GB Raid 10
4GB / 2x146 GB Raid 1
1.5GB / 2x80 GB Raid 1
Antispam, Antivirus, Content Filtering, and IM Security Delivered Across all Platforms
13.
13


主要内容
• • • • • 赛门铁克全方位邮件安全管理解决方案 赛门铁克邮件安全网关SMS8300 系列 SMS 8300 防垃圾邮件技术优势 利用SMS 8300 防止数据泄漏 总结
14.


全球探针网络(Probe Network) － 发送者信誉度列表
全球信誉度列表
• 依托 Symantec 全球信誉度列表 • 跟踪 open proxy 发件人, 僵尸 IP , 可疑 spammers, 以及可信发件人 • 依托Symantec 全球领导性的探针网络
本地信誉度列表
• Spam throttling 跟踪远程发件人对本地的 信誉度列表 • 通过整形对spammer 的连接请求予以延迟 或阻断 • 先阻止60%左右的垃圾邮件向内部传送
Optimizes protection against high volume senders
Especially effective against botnets & Distributed Low Volume (DLV) attacks 15.
15


流量整形 ( Throtting ) －本地信誉度列表 在入站的垃圾邮件消息被过滤之前，先阻止其中的 60% 被接收 即装即用：轻松配置 本地信誉：有效防范 zombies 和 bots
5% Spam Throttle Setting
SMTP Deferral Probability
98%
High Medium Low
0%
Observed Spam Reputation
100%
16.


Spam Throttling 案例分析
• 用户：LG Electronics • 用户邮箱数: 65,000 • 部署产品: 8台 8360
17.
17


Spam Throttling 案例分析
• 在6/11/07
启用SMTP Traffic Shaping ，级别为高
• 频繁尝试连接数在高峰时达到平时的9倍 • 稳定后达到平时的3至4倍
Messages & Connections
Traffic Shaping Set to ‘High’
18.
18


Spam Throttling 案例分析
• 与没有打开该功能相比，邮件量高峰值减少了50%
~ 50%
reduct ion
in ema
il volum e!
Traffic Shaping Set to ‘High’
19.
19


Spam Throttling 案例分析
• 垃圾邮件量也降低了50%
Traffic Shaping Set to ‘High’
20.
20


发送者信誉度列表: 电子邮件防火墙
将 (SPF) 更改为（SPF 和发件人 ID） 在 IP 连接级别阻止威胁
针对您的站点进行定制
• 特定于站点允许/阻止发件人 • 可选的 RBL 配置 • 广泛的措施
• 目录收集攻击 • 大规模垃圾邮件和病毒攻击 • 经赛门铁克评定，信誉得分较低的发件人
21.


病毒防护
在所有赛门铁克产品和平台中具有相同的核心引擎 保护用户，使其免遭恶意代码攻击 零日防护
2000
时间
2006
特征响应 周期 22.
感染期


由赛门铁克安全响应中心提供支持
赛门铁克监视的国家/ 地区
+
赛门铁克 SOC
+
赛门铁克支持
+
遍布 180 个国家/地区的 20,000 个注册传感器
+
赛门铁克安全响应实 验室
超过 4,300 个托管安全设备 + 全球 1.2 亿个赛门铁克系统
卡尔加里，加拿大 东京，日本 斯普林菲尔德，俄勒 冈 旧金山，加利福尼亚 州 红木城，加利福尼亚 圣莫尼卡，加利福尼 亚 奥勒姆，犹他/ 美国福克，尤他州
都柏林，爱尔兰 沃尔瑟姆，马萨诸 塞 伦敦，英国 慕尼黑，德国 亚历山大，弗吉尼 亚 纽波特纽斯，弗吉尼 亚
台北，台湾
悉尼，澳大利亚
23.
14


主要内容
• • • • • 赛门铁克全方位邮件安全管理解决方案 赛门铁克邮件安全网关SMS8300 系列 SMS 8300 防垃圾邮件技术优势 利用SMS 8300 防止数据泄漏 总结
24.


数据安全威胁日新月异
内部人员招致的威胁超过 外部黑客 大多数数据泄 漏是由于商业实 践不规范或意外 泄漏造成的
25.


Data Loss Prevention－ 防止数据泄漏
高级数据丢失防护
1. 1 可对结构化和非结构化 的数据进行分类、控 制、保留 2. 关闭出口:多种协议支 2 持，端点 3 3. 全面防护
26.
26


控制敏感数据流走向
• Messaging is the most common source of data leakage • Easily deploy and manage effective compliance tools
LOB Systems Match Data in Motion Clean Mail for Delivery
Hashing Live Systems Data Hashes Saved Mail Held for Review , Release or Rejection
Exact Data Matching
Rejected Mail Returned or Escalated
27.
27


SMS8300内容过滤引擎
内容过滤引擎
• 扫描正则表达式、关键字和字典匹配、模式（ 可重用的正则表达式） • 扫描标题、邮件、附件和压缩文件 • 策略条件构建器可以提供强大而轻松的维护 • 检测真实文件类型（超过 350 种文件类型） • 传递时按照域进行 TLS 加密，作为一项策略措 施 • 利用访问控制对需要遵从的文件夹进行事故管 理
28.


SMS 8300 对邮件体的各个部分进行内容过滤
• 可针对邮件内各个部分进行内容过滤 • 可识别真实文件类型 • 集成了业界最先进的数据泄漏保护技术VONTU • 支持正则表达式 • 归档、通知设置 • 可由防垃圾邮件策略绕过
• 例如对垃圾邮件不进行归档操作
• 可执行多达23种的操作动作
29.
29


SMS 8300 对邮件各个组成部分进行内容过滤
30.
30


事故管理－管理员和内部主管执行企业法规遵从
31.
32.32
Enterprise Security •
发件人•
收件人•
主题•其它
•
处理邮件的时间•
发件人•
收件人•
邮件的主题•
处理方式（垃圾邮件、病毒、阻止的发件人等）•采取的措施
按照多个标准进行过滤检索邮件状态深入分析，以获得
详细的证据
2
31
快速跟踪和审核遗失的邮件
33.
Symantec 防垃圾邮件典型用户
Enterprise Service Provider
34.
主要内容
•赛门铁克全方位邮件安全管理解决方案
•赛门铁克邮件安全网关SMS8300 系列
•SMS 8300 防垃圾邮件技术优势
•利用SMS 8300 防止数据泄漏
•总结
35.
36.
内容过滤与遵从 搜索邮件的各个部分，包括附件 字典、正则表达式、真实文件分类 事故管理 高级内容控制模块：包括使用预建字典和模式的预建策略模板有助于满足法规、法律和内部内容要求安全性–垃圾邮件与病毒
网关垃圾邮件防护
病毒与反网络钓鱼零日防护
间谍软件/广告软件甄别
扫描数据封装和压缩文件
连接调整
发件人ID 支持
强化硬件设备平台 下一代硬件 出色的性能和可伸缩性，可以为超过15 万用户提供支持 加密的电子邮件服务 扩展的LDAP 集成 归档集成 消息跟踪 广泛的IP 地址报告阻止并抑制最新的
电子邮件威胁和病
毒爆发事件优势
提高IT 员工的操作效能
亮点功能概述-8300 邮件安全网关优势优势
基于全球搜索网络的防垃圾邮件过滤技术
•特性概述
–过滤引擎由Brightmail技术和构架提供支持
–误判防护
–基于网关的多层防垃圾邮件引擎
•优势
–恢复员工的生产力
–节约群件层的资源
•Symantec的优势
–捕获95% 或者更多的垃圾邮件
–确保合法的邮件不会被误拦截(99.9999% 的准确性)
–管理简便，零管理成本。

37.
38.Symantec 具有业界最高的准确性
•误报(正常邮件被误认为是垃圾邮件) 在创造生产力的同时带来了商业上的损失
–可能丢失重要的邮件(订单, 确认信等等)
–用户需要从隔离区中搜寻正常邮件
•使用symantec antispam ，完全没有风险–99.9999% 的准确性
–由Symantec BLOC 中心提供技术支持
–自动处理所有的误报邮件，不需要用户干预
SMS 8300 技术优势总结
•产品家族非常全面
–来自单一厂商的完整的电子邮件管理方案
•最佳产品
–在每个分类中市场领先
•经Symantec 验证并提供支持
–端到端的兼容性
•可以选择的部署选项
–软件、托管、硬件设备
•为电子邮件解决方案提供良好的环境
–合作伙伴的广泛性
•重要的研发承诺
–专利技术和新投资
–全球范围内建立的安全威胁响应中心
39.
Thank You
Symantec and Symantec Vision are registered trademarks of Symantec in the U.S. and in other
countries.The other company names or products mentioned are or may be trademarks of their
respective owners.
40.。